Bilgisayar korsanları, özellikle Moğolistan’da hükümet web sitelerini hedef almak için iOS ve Google Chrome’daki güvenlik açıklarından yararlanıyor.
Google’ın Tehdit Analiz Grubu (TAG) bu saldırıları gözlemledi ve saldırıların Rus hükümeti destekli APT29 adlı aktörle bağlantılı olduğu ortaya çıktı.
Bilgisayar korsanları, güvenlik savunmalarını aşmak için başlangıçta ticari gözetim sağlayıcıları tarafından geliştirilen aynı açıkları defalarca kullandılar.
Bu makalede, söz konusu siber saldırıların ayrıntıları, istismar edilen güvenlik açıkları ve küresel siber güvenlik açısından etkileri ele alınmaktadır.
Sulama Deliği Saldırıları
Siber saldırılar, “sulama deliği saldırıları” olarak bilinen bir yöntemle gerçekleştirildi; bu yöntemde, meşru web siteleri tehlikeye atılarak, şüphelenmeyen ziyaretçilere kötü amaçlı yükler iletiliyor.
Bu durumda Moğolistan hükümetinin web sitesi cabinet.gov[.]mn ve mfa.gov[.]mn hedef alındı.
Saldırganlar, ziyaretçileri saldırganların kontrolündeki web sitelerine yönlendiren gizli iframe’ler yerleştirerek, iOS ve Android kullanıcılarına güvenlik açıkları sundular.
Saldırganlar bu dönemde, 16.6.1’den eski iOS sürümlerini çalıştıran cihazları hedef almak için CVE-2023-41993 adlı bir iOS WebKit açığını kullandılar.
Saldırı, cihazlarını güncellemeyen kullanıcıları etkileyen, güvenliği ihlal edilmiş hükümet web siteleri üzerinden gerçekleştirildi.
Yük, daha önce APT29’un 2021’deki kampanyasında gözlemlenen ve LinkedIn ve Gmail gibi önemli web sitelerinden kimlik doğrulama çerezlerini sızdıran bir çerez çalma çerçevesini içeriyordu.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Temmuz 2024: Chrome Açıkları
Temmuz 2024’te saldırganlar, Google Chrome’daki güvenlik açıklarından yararlanarak odaklarını Android kullanıcılarına çevirdiler.
Chrome istismar zinciri CVE-2024-5274 ve CVE-2024-4671’i hedef aldı ve saldırganların bilgi çalma yükü dağıtmalarına olanak tanıdı.
Bu kampanya, saldırganların teknik açıdan ne kadar gelişmiş olduğunu göstererek, Chrome’un site izolasyon korumalarını aşmak için ek bir sanal alan kaçış açığı gerektiriyordu.
Exploit Yeniden Kullanımı ve Atıf
Aynı istismarların tekrar tekrar kullanılması siber savaşta endişe verici bir eğilimi vurgulamaktadır. Bu kampanyalarda istismar edilen güvenlik açıkları ilk olarak Intellexa ve NSO Group gibi ticari gözetim satıcıları tarafından keşfedilmiş ve sıfır gün olarak kullanılmıştır.
Saldırganlar bu istismarları kendi amaçlarına göre uyarladılar ve bu karmaşık araçların APT aktörlerinin eline nasıl geçtiği konusunda soru işaretleri yarattılar.
Google’ın TAG’ı, bu kampanyaların gelişmiş siber yetenekleri ve Rus hükümetiyle bağlantıları ile bilinen APT29 adlı grupla bağlantılı olduğunu orta düzeyde güvenle değerlendirdi.
APT29 tarafından kullanılan istismarlar ile ticari satıcılar tarafından geliştirilen istismarlar arasındaki benzerlikler, bu araçların sızdırılma veya satılma ihtimalini akla getiriyor.
Bu saldırıların sürekliliği ve karmaşıklığı, devlet destekli siber aktörlerin oluşturduğu tehdidin devam ettiğini gösteriyor.
Sulama deliği saldırıları, özellikle en son güvenlik yamalarını uygulamamış kullanıcılara karşı karmaşık istismarlar sunmada etkili olmaya devam ediyor.
Kampanyalar ayrıca kötü niyetli aktörlerin yeniden kullanabileceği ticari gözetleme araçlarının yaygınlaşmasıyla ilişkili risklere de dikkat çekiyor.
Kullanıcılar ve Kuruluşlar için Öneriler
Bu tür saldırıların riskini azaltmak için kullanıcıların ve kuruluşların şunları yapması önemle rica olunur:
- Yazılımı Güncel Tutun: Bilinen güvenlik açıklarına karşı koruma sağlamak için işletim sistemlerini ve uygulamaları düzenli olarak en son sürümlere güncelleyin.
- Güvenlik Özelliklerini Etkinleştir: Güvenlik açıklarına karşı korumayı artırmak için Apple’ın Kilitleme Modu ve Google’ın Site İzolasyonu gibi yerleşik güvenlik özelliklerini kullanın.
- Ağ Trafiğini İzle: Şüpheli faaliyetleri derhal tespit etmek ve bunlara yanıt vermek için ağ izleme çözümlerini uygulayın.
- Çalışanları Eğitin: Kimlik avı ve diğer yaygın saldırı yöntemleri hakkında farkındalığı artırmak için düzenli eğitim oturumları düzenleyin.
Bu kampanyalarda aynı istismarların tekrar tekrar kullanılması, dikkatli ve proaktif güvenlik önlemlerinin gerekliliğini ortaya koyuyor.
APT29’un bu istismarları tam olarak nasıl elde ettiği henüz netlik kazanmamış olsa da, bu olaylar gelişen siber tehdit ortamının çarpıcı bir hatırlatıcısı niteliğinde.
Google’ın TAG birimi, bu tür istismarları tespit etme, analiz etme ve engelleme konusunda çalışmalarını sürdürüyor ve bulgularını ekosistem genelinde güvenliği artırmak için paylaşıyor.
Siber tehditler giderek daha karmaşık hale geldikçe, siber güvenlik uzmanları ve kuruluşları arasındaki iş birliği ve bilgi paylaşımı her zamankinden daha önemli hale geliyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial